Windows 2008 R2 Standard server - cara menonaktifkan RC4

9

Saya baru saja menggunakan www.ssllabs.com dan menjalankan beberapa tes - server saya dibatasi hingga kelas B karena server saya menerima RC4

Server ini menerima sandi RC4, yang lemah. Nilai dibatasi hingga B.

Saya telah meneliti dan menemukan bahwa untuk menonaktifkan RC4 saya perlu menambahkan 3 kunci, dan mengatur kata kunci yang diaktifkan untuk 0 Tautan dan Tautan

Saya telah melakukan ini untuk RC4 40/128, RC 56/128danRC4 64/128

Saya kemudian me-restart server saya. Ketika server dinyalakan kembali, saya memverifikasi Perubahan Registri telah dilakukan, dan semuanya - semua 3 ada dan ketiga memiliki nilai yang diaktifkan ditetapkan ke 0.

Saya kembali ke ssllab, menghapus cache, menjalankan kembali tes dan mengembalikan hasil yang sama (dibatasi ke B karena RC4 diaktifkan).

Pada tahap ini, saya tidak yakin apa artinya ini - jika SSLLab menunjukkan hasil yang salah (saya akan berasumsi tidak), sudahkah saya menonaktifkan RC 4.

Bagaimana saya bisa tahu jika saya berhasil menonaktifkan RC4

Edit

Saya juga melihat KB tentang ini http://support.microsoft.com/kb/2868725?wa=wsignin1.0 jadi coba sekarang ... Saya sudah melakukan perubahan registri yang sama tetapi, ketika saya mencoba mengunduh 64 bit versi untuk W2008 R2 Standar, gagal menginstal dengan pesan kesalahan

Pembaruan tidak berlaku untuk komputer Anda

windows-server-2008-r2 ssl iis-7 Dave
sumber
RC4 saat ini aman. Jika Anda tidak melawan agen keamanan dengan ribuan server yang penuh kartu radeon, maka Anda tidak perlu khawatir. Masalah keamanan Cypher4 adalah spekulasi murni pada titik ini. Microsoft ingin membuangnya karena mereka hanya ingin standar baru sebagai gantinya. Secara praktis, bahkan SHA-1 belum rusak.
Overmind
Saya kehilangan apa yang harus dilakukan MS dengan ini - mereka tidak melaporkan kesalahan (kecuali ssllabs.com dimiliki oleh MS)? Dengan SHA-1, apakah Anda mengatakan itu masih berfungsi tetapi ada opsi yang lebih aman di luar sana?
Dave
MS menggunakan RC4 pada sistem operasi dan ingin menjauh darinya. Ya, SHA-1 dibuat pada '95, tentu saja telah berevolusi, tetapi intinya adalah masih aman.
Overmind
Ada beberapa laporan bahwa RC4 tidak aman: blogs.technet.com/b/srd/archive/2013/11/12/…
Lizz
Ada RET IETF di jalur standar yang mengharuskan penghapusan proposal RC4 dari jabat tangan TLS karena masalah keamanan: tools.ietf.org/html/rfc7465
the-wabbit

Jawaban:

9

Ada alat untuk memeriksa urutan sandi dalam GUI. Ini bekerja untuk saya setiap saat. (Cobalah di mesin uji jika Anda tidak mempercayai exe.)

Microsoft merilis penasihat keamanan tentang RC4 di mana mereka menjelaskan cara menonaktifkan RC4 di sisi klien dan server. Sekarang praktik terbaik untuk menonaktifkan RC4.

Jangan lupa untuk melakukan Pembaruan Windows di penasihat keamanan karena ada schannelpembaruan yang harus dilakukan sebelum memperbarui urutan sandi.

Ketika pembaruan selesai, Anda dapat menggunakan alat (IISCrypto) , tambalan penasihat Microsoft, atau memperbarui sendiri registri windows:

(Hati-hati. Cadangkan registri Anda terlebih dahulu.)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
YaKYuK
sumber
3
Saya bahkan tidak perlu menjalankan pemindaian - segera setelah saya membukanya, saya melihat RC 128/128yang tidak tercantum dalam tautan yang saya kutip. Menambah RC 128/128dan mengatur kata yang Diaktifkan ke 0 telah menyelesaikan masalah.
Dave
@Dave, bisakah Anda menambahkan jawaban dengan info dari komentar Anda? Itu akan sangat membantu! :)
Lizz
@ Lizz @ Dave, maksud Anda RC4 128/128atau ada yang terpisah RC 128/128?
Michael - Di mana Clay Shirky